четверг, 12 сентября 2019 г.

Документация по защите персональных данных

Добрый день, коллеги! Мне часто задают вопрос - какие документы нужно сделать для того, чтобы защитить персональные данные в организации. 
Начнем с Федерального закона "О персональных данных", какие документы следуют из его положений?
Порядок восстановления ПДн (пп. 7 п. 2 ст. 19 152-ФЗ). Такой документ часто требуют при проверке, но многие забывают его сделать. Это может быть часть положения о защите персональных данных;
Журнал учета действий (пп. 8 п. 2 ст. 19 152-ФЗ). Проще всего - электронный, если нужно - распечатаете;
Заключение об оценке вреда субъекту (пп. 5 п. 1 ст. 18.1 152-ФЗ). Здесь правил нет, делаете как считаете нужным;
Заключение об оценке эффективности принимаемых мер (пп. 4 п. 2 ст. 19 152-ФЗ). Нужно оценить те меры, которые приняты для защиты персональных данных: закрывают ли они актуальные угрозы;
Модель доступа к ПДн (пп. 8 п. 2 ст. 19 152-ФЗ). Полезная вещь, особенно если есть разные уровни доступа;
Модель угроз (пп. 1 п. 2 ст. 19 152-ФЗ). Если вы слушали наш совместный вебинар с Сергеем Борисовым, то знаете, что вопрос о необходимости модели угроз - спорный.;
Политика обработки персональных данных (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;
Положение об обработке ПДн (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;
Поручение на обработку персональных данных (п. 3, ст. 6 152-ФЗ). Понадобится, если решите передать персональные данные на обработку третьему лицу;
Порядок контроля за принимаемыми мерами безопасности (пп. 9 п. 2 ст. 19 152-ФЗ). Может быть частью положения о ПДн;
Порядок ознакомления с нормативной документацией (пп. 6 п. 1 ст. 18.1 152-ФЗ). Сделайте такой порядок и постоянно проводить ознакомление персонала, основной ошибкой является отсутствие листов ознакомления или отсутствие подписей в них;
Порядок применения правовых, организационных и технических мер по обеспечению безопасности ПДн (пп. 3 п. 1 ст. 18.1 152-ФЗ). Может быть частью положения;
Порядок реагирования на инциденты (пп. 6 п. 2 ст. 19 152-ФЗ). Может быть частью положения;
Порядок учета машинных носителей (пп. 5 п. 2 ст. 19 152-ФЗ). Лучше сделать, например, чтобы была возможность реагировать на вынос домой рабочих флешек с базами клиентов;
Приказ о назначении лица, ответственного за организацию обработки (пп. 1 п. 1 ст. 18.1 152-ФЗ). Нужно сделать;
Уведомление об обработке персональных данных (ст. 22 152-ФЗ). Скорее всего придется сделать;
Форма согласия на обработку персональных данных (ст. 9 152-ФЗ). Сделайте разные на все случаи обработки.

Теперь посмотрим Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями). Будьте внимательны, оно изменялось. 
Какие документы нужно сделать?
правила обработки персональных данных. Может быть частью положения;
правила рассмотрения запросов субъектов персональных данных. Также часть положения;
правила осуществления внутреннего контроля. Часть положения;
правила работы с обезличенными данными. Не знаю, стоит ли выделять в отдельный документ;
перечень информационных систем персональных данных. Стоит сделать;
перечни персональных данных. Полезный документ, высветит интересные бизнес-процессы;
перечень должностей лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных. Очень важный документ;
перечень должностей лиц, замещение которых предусматривает осуществление обработки персональных данных. Стоит сделать;
должностной регламент ответственного за организацию обработки персональных данных. Сделайте обязательно, чтобы не было путаницы, кто за что отвечает;
типовое обязательство о неразглашении. Сделайте обязательно;
типовая форма согласия на обработку персональных данных. Сделайте обязательно;
порядок доступа в помещения, в которых ведется обработка персональных данных. Сделайте.

Продолжение следует...

Валентина Михайловна Валевская. Осенний натюрморт
Вступайте в группу ВК: https://vk.com/kshudrova

среда, 4 сентября 2019 г.

Угрозы и требования. Как их подружить?

Добрый день, коллеги! В августе прошел первый совместный вебинар с Сергеем Борисовым. Запись Вы можете посмотреть здесь. По итогам вебинара Красноярским отделением сообщества RISC была разыграна кружка с логотипом за самый интересный вопрос. Победителем стал Геннадий Аносов. Он свою кружку уже получил и прислал нам подтверждающее фото. 
После вебинара мы выбирали тему нового мероприятия. И выбрали. Лучшей на наш с Сергеем взгляд является "Соответствие угроз безопасности из БДУ мерам обеспечения информационной безопасности приказов ФСТЭК N17 и N21". Мы уже связались с коллегой и также скоро отправим ему кружку. А нас с вами ждет второй вебинар.
Вебинар так и будет называться "Угрозы и требования. Теория и практика". За теорию отвечает Ксения Шудрова:) Я расскажу Вам об угрозах и требованиях в информационной безопасности вообще, о том как связывать их между собой. Мы немного абстрагируемся от конкретных требований, ведь завтра они могут измениться, также как могут появиться и новые угрозы. Рассмотрим общие подходы, которые научат вас связывать любые требования с любыми угрозами. Это будет основа для Вашей дальнейшей работы. Но зачем теория без практики? Правильно, впереди самое интересное! За практику отвечает Сергей Борисов. Он расскажет, как же все-таки связаны угрозы из bdu и требования документов из приказов ФСТЭК 21 и 17. Вы увидите уникальный контент, содержащий очень полезные таблицы соответствия. Как такое можно пропустить?
Платформа пока определяется. Ориентировочная дата - 18 сентября 2019 года. Будет обязательная предварительная регистрация. Мероприятие поддержано Красноярским отделением RISC.

Всех ждем!

Присоединяйтесь к группе ВК, чтобы не пропустить самые свежие новости: https://vk.com/kshudrova